Чому Internet Explorer продовжує запитувати мене щодо облікових даних NTLM в зоні інтрамережі?


23

Довгий текст, вибачте за це. Я намагаюся бути максимально конкретним.

Я в Windows 7 і відчуваю дуже неприємну поведінку Internet Explorer 8. Я перебуваю в локальній мережі компанії з деякими інтранет-серверами і проксі-сервером для зв'язку з зовнішнім світом.

На сайтах, які чітко визнані "локальною інтранет" (як зазначено в рядку стану IE), я постійно отримую діалогові вікна "Безпека Windows", які просять мене увійти. Ці сторінки подаються під IIS6 із "інтегрованою безпекою Windows" увімкнено, NTFS дозволяє кожному: читайте самі файли.

  • Якщо я введу свої облікові дані Windows, сторінка завантажується. Однак діалогові вікна з'являться наступного разу, незалежно від того, поставив я "Запам'ятати мої облікові дані" чи ні. (Повноважні дані зберігаються в "Менеджері довірених даних", але це не має ніякої різниці в тому, як часто з'являються ці поля для входу.)
  • Якщо натиснути "Скасувати", може статися одне з двох: або сторінка завантажується з певними ресурсами (зображеннями, таблицями стилів тощо), або вона взагалі не завантажується, і я отримую HTTP 401.2 (Несанкціоноване: Вхід не вдалося через сервер Конфігурація). Це залежить від того, вікно входу було запущено самою сторінкою, або посилається на ресурс.
  • Поведінка, здається, абсолютно помилкова, іноді сторінки завантажуються плавно, іноді один ресурс запускає повідомлення про вхід, іноді це не так. Навіть просто повторне завантаження сторінки може призвести до зміни поведінки.

Я використовую WPAD як свій механізм виявлення проксі. Усі хости Інтранету обходять проксі-файл у файлі PAC.

Я перевірив усі налаштування IE, про які я можу придумати, ввів шаблони хостів, окремі імена хостів, діапазони IP в кожній можливій конфігурації до зони "Локальний Інтранет", поставив галочку "Включити всі сайти, які обходять проксі-сервер", ви називаєте це. Це зводиться до "іноді це просто не працює", і я повільно втрачаю розум. ;-)

Я знаю, що це пов’язано з тим, що IE не передає автоматично свої облікові дані NTLM веб-серверу, а запитує мене. Зазвичай це має відбуватися лише для захищених NTLM сайтів, які не визнані такими, що перебувають у зоні "Інтранет".

Як було пояснено, тут це не так. Тим більше, що половина сторінки може завантажуватись ідеально та безперебійно, а деякі ресурси сторінки (з одного сервера!) Ініціюють повідомлення про вхід.

Я переглянув http://support.microsoft.com/kb/303650 , який створює враження опису проблеми, але нічого, здається, не працює. І, чесно кажучи, я не впевнений, чи "вручну редагування реєстру" є правильним рішенням для подібного роду проблем. Зрештою, я не єдина людина у світі з конфігурацією IE / intranet / IIS.

Я в збитку, може хтось підкаже мені?


Вибачте, я не втримався: Отже, капітане, як довго ми будемо дивитися один на одного через нейтральну зону ?!
allquixotic

Відповіді:


11

Ми бачимо це лише тоді, коли термін дії користувача закінчився. Коли ми бачимо це, ми змушуємо користувача змінити свій пароль, і для хорошого виходу з системи та повернення з новими обліковими даними. Сайт Інтранету більше не запитує облікові дані.

Здійснює безліч швидких дзвінків підтримки ...

Також переконайтесь, що в зоні локальної інтранетичної мережі встановлено автоматичне вхід із поточним іменем користувача та паролем. Зробити це можна:

  1. Інструменти
  2. Параметри Інтернету
  3. Клацніть лівою кнопкою миші на вкладці Безпека
  4. Клацніть лівою кнопкою миші на рівні користувача
  5. Прокрутіть униз до Аутентифікація користувача
  6. У розділі Вхід виберіть Автоматичне вхід із поточним іменем користувача та паролем

Ні, паролі добре. Це було перше, що я перевірив, природно. Крім того, не було б часткових завантажень сторінок і хаотичного "іноді це працює, іноді не працює", якщо термін дії пароля минув.
Томалак

2

Можливо, деякі з 4-х частинних рукостискань, що відбуваються з ntlm , губляться, тобто розмовляючи з проксі? Тобто, якщо є запитання проксі про сторінки інтрамережі ...

Я знаю, ви сказали, що ви намагалися розмістити сайти в інтранетній зоні та встановити їх для обходу проксі. Що цікаво, що ж станеться, якщо ви повністю відключите конфігурацію проксі в браузері? Більше немає спливаючих вікон, правда?


Інтранет-сайти не завантажуються через проксі. Але я можу це зробити.
Томалак

1
Після того, як вимкнути проксі повністю і вручну додати наш Інтранет FQDN до зони "Інтранет" в IE, він, здається, працює в банкоматі. Я довго не тестувався, тому не можу бути абсолютно впевненим. Може, це якась особливість WPAD? Зрештою, файл PAC повертає "Прямий" для цього FQDN також ...
Tomalak,

Схоже, ви знайшли свою відповідь, якщо відключення проксі-сервера спрацювало. Я збирався запропонувати спробувати Firefox та додати ім'я сайту до налаштування ntlm на сторінці about: config та побачити, чи працює це.
Марлон

0

Спробуйте переглянути адміністративні інструменти під панеллю управління; відкрити майстрів .NET 1.1 і налаштувати безпеку .NET для "Повного довіри" для інтранет.


Там немає .NET бере участь взагалі на сторінках в питанні. Не важливо, що я там налаштовую.
Томалак

0

Ви перевірили / змінили "Мережева безпека: рівень автентифікації локальної мережі" в "Панелі управління / Адміністративні засоби / Локальна політика безпеки / Локальна політика / Параметри безпеки"? ( Q823659 )

Тут ми запускаємо робочу групу (без серверів Windows) з локальною інтрамережею та широким використанням MySQL ... Поки ми не змінили (або ввімкнули) вищевказаний ключ / параметр нічим не працював 100% часу, це не було лише випуск Windows 7. Ми також вимкнули параметри "Потрібні 128-розрядні шифрування" на 2 клавішах NTLM, розташованих нижче цього, на ПК з ОС Windows 7 ... Все ж виникають випадкові проблеми з базою даних, але SQL з тих пір добре.


На жаль, я нічого не можу змінити. Цю налаштування контролюють доменні групи об'єктів домену. Крім того, це не пояснює помилкову поведінку, я б очікував, що вона буде невдалою постійно, коли налаштування аутентифікації низького рівня неправильні. : - \
Томалак

0

Оскільки ви перебуваєте в домені, і проблема несподівана, мені завжди цікаво дві речі ...

  1. Чи відбувається така ж поведінка і для інших користувачів?
  2. Чи відбувається однакова поведінка для іншого користувача домену на вашій машині?

До 1 і 2: Так. Дуже спантеличує.
Томалак

У цьому відчувається, що винен GPO або конфігурація IIS ...
Paul D'Ambra

0

Ви перевіряли ці пропозиції на сайті відповідей MS ? (напевно, ви це зробили ...)


Я б, але ця ланка розірвана.
Томалак

Вибачте, посилання виправлено.
Френк Меуленаар

Гм. Без кісток. Я також скоріше не використовую менеджер облікових даних для чогось, що повинно бути прозорим аутентифікацією з моїм власним обліковим записом.
Томалак
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.